WO2009059546A1 - Procédé d'authentification d'accès s'appliquant à un réseau ibss - Google Patents

Description

一种适用于 IBSS网络的接入认证方法

本申请要求于 2007 年 10 月 30 日提交中国专利局、 申请号为 200710018976.1、 发明名称为"一种适用于 IBSS 网络的接入认证方法"的中国 专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种适用于 IBSS网络的接入认证方法。

背景技术

为了解决无线局域网 WLAN ( Wireless Local Area Network ) 国际标准 全漏洞， 中国颁布了无线局域网国家标准及其第 1号修改单， 采用无线局域网 认证与保密基础结构 WAPI ( WLAN Authentication and Privacy Infrastructure ) 替代 WEP,解决无线局域网的安全问题。 几乎同期， IEEE组织也颁布了 IEEE 802.11i标准， 在后向兼容的 出上， 提出了鲁棒安全网络关联 RSNA ( Robust Security Network Association )技术弥 卜 WEP存在的安全漏洞。

WAPI利用证书或共享密钥的认证及密钥管理协议， RSNA通过基于扩展 认证协议 EAP ( Extended Authentication Protocol ) 的 IEEE 802. lx与 4步握手 协议（4-way Handshake ), 分别实现认证与密钥分发功能。 WAPI可保障无线 局域网的安全性， RSNA也緩解了原无线局域网安全机制存在的安全问题， 但 均存在以下方面的不足：

1、 运行在 IBSS网络模式下， 协议执行过于复杂， 而此种模式的网络中， 节点资源 （电源、 CPU与存储能力等）通常受限；

2、 WAPI单播密钥协商协议和 RSNA4步握手协议的第一个消息均未采取 保护措施， 攻击者可通过伪造消息 1实施协议阻塞与存储耗尽等 DoS ( Denial of Service )攻击。

下面以对这两个缺点进行较伴细的分析和说明。

为叙述方便，首先将 WAPI和 RSNA中的功能相似或相同的术语统一定义 如下：

1、请求实体 S( Supplicant )。 WAPI的认证请求者实体 ASUE( Authentication Supplicant Entity )和 RSNA的请求者 Supplicant的统一称谓。 2、 认证实体 A ( Authenticator )。 WAPI的认证器实体 AE ( Authenticator Entity )和 RSNA的认证器 Authenticator的统一称谓。

3、 认证服务器 AS ( Authentication Server )。 WAPI的认证服务实体 ASE ( Authentication Service Entity )和 RSNA的认证月良务器 AS ( Authentication Server ) 的统一称谓。

4、 主密钥 MK ( Master Key λ WAPI协议的基密钥 BK ( Base Key )和 RSNA协议的成对主密钥 PMK ( Pairwise Master Key ) 的统一称谓。

5、单播密钥 UK ( Unicast Key )。 WAPI协议的单播会话密钥 USK ( Unicast Session Key )和 RSNA协议的单播临时密钥 PTK ( Unicast Temporal Key ) 的 统一称谓。

6、组播密钥 GK ( Group Key )。 WAPI协议的组播主密钥 MMK ( Multicast Master Key )和 RSNA协议的组播主密钥 GMK ( Group Master Key )的统一称 谓。

通常 WLAN具有基本服务集 BSS ( Basic Service Set )和独立基本服务集 IBSS( Independent BSS )两种组网模式。在 BSS模式下，无线接入点 AP( Access Point )驻留有认证实体 A, 用户终端驻留有请求实体 S， 通过认证服务器 AS 完成认证功能后， 进行认证实体 A和请求实体 S之间的单播密钥协商与认证 实体 A的组播（包括多播 Multicast与广播 Broadcast )密钥通告过程。在 IBSS 模式下， 所有加入网络中的每个终端用户地位对等， 除两两之间存在单播数据 需要传输外，每个工作站还需要发送各自的组播数据， 即每个工作站均须担当 认证实体 A, 与作为请求实体 S的其他工作站分别完成组播密钥通告过程。

同一网元既作为认证实体 A又作为请求实体 S，会引起密钥管理协议的反 射攻击 （Reflection Attack ), 为此， 可采用同一实体担当两种认证角色时所基 于的预共享密钥不相同的方法来防止此类攻击， 即同一实体作为认证实体 A 和作为请求实体 S所执行的密钥管理协议应依赖于不同的主密钥 MK和单播 密钥 UK, 因此， 在 IBSS模式下， 每个站点均须作为认证实体 A与其他所有 站点之间执行完整的认证与密钥管理协议。 参见图 1， 对于具有 N个节点的 IBSS网络而言， 完整的认证与密钥管理 协议需执行 N ( N-1 )次， 当节点经常移动或资源受限时， 如此高的计算复杂 度使协议难以在实际中得到应用。

协议不仅在 IBSS模式下运行过程复杂， 而且其密钥管理协议还存在一种 DoS攻击。 WAPI单播密钥协商协议和 RSNA的 4步握手协议是安全机制中非 常关键的部件， 其目的就是为了验证认证实体 A和请求实体 S之间是否拥有 认证成功协商的主密钥 MK,并导出后续数据通信使用的新鲜的单播密钥 UK。 在 WAPI单播密钥协商协议和 RSNA的 4步握手协议中，除消息 1之外的其他 消息均被最新协商的 UK认证保护， 但棵露的消息 1可被攻击者利用。 攻击者 可通过伪造消息 1，使得认证实体 A和请求实体 S协商的 UK不一致，造成协 议阻塞， 或者攻击者大量伪造消息 1而引入请求实体 S端的存储耗尽等 DoS 攻击。 这种伪造攻击易于实施， 造成的危害也比较严重， 一次成功的攻击将使 得先期的对认证过程的种种努力化为泡影。

发明内容

本发明实施例为解决背景技术中存在的上述技术问题， 提供一种适用于

IBSS网络的接入认证方法， 以保证 IBSS网络的接入认证过程安全性更强、执 行效率更高。

本发明的技术解决方案是： 一种适用于 IBSS网络的接入认证方法， 其特 殊之处在于： 该方法包括以下步骤：

步骤 1 )对网络实体进行认证角色配置；

步骤 2 )通过认证协议对所述进行认证角色配置后的认证实体和请求实体 进行认证；

步骤 3 )认证完成后， 所述认证实体和请求实体进行密钥协商， 其中， 在 所述密钥协商消息中添加消息完整性校验和协议同步锁字段。

优选的， 所述角色配置包括静态配置、 自适应配置或动态配置。

优选的， 所述静态配置具体包括： 在一对网络实体中， 将其中一个网络实 体配置为认证实体， 将另一个网络实体配置为请求实体。

优选的， 所述自适应配置具体包括： 在一对网络实体中， 如果其中一个网 络实体判断对端网络实体为认证实体， 则所述网络实体自适应配置为请求实 体，如果其中一个网络实体判断对端网络实体为请求实体， 则所述网络实体自 适应配置为认证实体。

优选的，所述动态配置具体包括：根据优先级对网络实体进行配置；或者， 根据物理地址对网络实体进行配置。

优选的， 所述根据优先级对网络实体进行配置包括： 在一对网络实体中， 将优先级高的网络实体配置为认证实体， 将另外一个网络实体配置为请求实 体。

优选的， 所述认证实体和请求实体进行密钥协商包括： 所述认证实体向所 述请求实体发送密钥协商请求分组，其中， 所述密钥协商请求分组包含密钥协 商标识 KNID、 所述认证实体产生的一次性随机数 Nonce_A和消息完整性校验 MIC1 , 其中， MIC1 为认证实体利用已协商的主密钥 MK对密钥协商请求分 组中除 MIC1之外的其他字段计算的杂凑值； 当所述请求实体收到所述密钥协 商请求分组后， 对所述密钥协商请求分组进行验证， 如果验证通过， 则向所述 请求实体回应密钥协商响应分组，如果验证不通过， 则丢弃所述密钥协商请求 分组， 其中， 所述密钥协商响应分组包含密钥协商标识 KNID、 所述请求实体 产生的一次性随机数 Nonce_s、 所述请求实体的组播密钥信息 E ( UK,GK_S )和 消息完整性校验 MIC2, 其中， E ( UK，GK_S )表示采用单播密钥 UK对所述请 求实体的组播密钥 GK_S进行加密处理后得到的信息， UK是根据 MK、 Nonce_A 和 Nonce_s计算得到的值， MIC2是请求实体利用此次协商的 UK对密钥协商响 应分组中除 MIC2之外的其他字段计算的杂凑值； 当所述认证实体收到所述密 钥协商响应分组后， 对所述密钥协商响应分组进行验证， 如果验证通过， 则向 所述请求实体回应密钥协商确认分组，如果验证不通过， 则丢弃所述密钥协商 响应分组， 其中， 所述密钥协商确认分组包含密钥协商标识 KNID、 所述认证 实体的组播密钥信息 E( UK,GK_A )和消息完整性校验 MIC3，其中， E( UK， GK_A ) 表示采用单播密钥 UK对所述认证实体的组播密钥 GK_A进行加密处理后得到 的信息， MIC3为认证实体利用 UK对密钥协商确认分组中除 MIC3之外的其 他字段计算的杂凑值； 当所述请求实体收到所述密钥协商确认分组后，对所述 密钥协商确认分组进行验证， 如果验证通过， 解密得到 GK_A, 如果验证不通 过， 则丢弃所述密钥协商确认分组。 优选的， 当为首次密钥协商过程时，所述对密钥协商请求分组进行验证包 括：验证所述密钥协商请求分组中的 MIC1是否正确，如果是，所述验证通过， 如果否， 所述验证不通过；

优选的， 当为密钥更新过程时， 所述密钥协商请求分组进行验证包括： 验 证所述密钥协商请求分组中的 KNID和 MIC1是否正确， 如果是， 所述验证通 过， 如果否， 所述验证不通过。

优选的， 所述对密钥协商响应分组进行验证包括： 验证所述密钥协商响应 分组中的 KNID和 MIC2是否正确， 如果是， 所述验证通过， 如果否， 所述验 证不通过。

优选的， 所述对密钥协商确认分组进行验证包括： 验证所述密钥协商确认 分组中的 KNID和 MIC3是否正确， 如果是， 所述验证通过， 如果否， 所述验 证不通过。

优选的 , 所述认证协议包括： WAPI认证协议或 RSNA的 IEEE 802.1x协 议。

本发明具有以下优点：

1、执行效率高。 本发明为了降低协议在 IBSS模式下执行的复杂度，提出 一种网络实体的角色配置方法， 即对每个工作站担当的角色进行静态配置，或 者根据网络运行情况对每个工作站担当的角色进行自适应配置或动态配置。当 网络实体采用自适应角色策略后，在一对工作站之间， 完成认证与密钥管理功 能时，每个工作站所扮演的角色相对确定，要么为请求实体，要么为认证实体， 即一对工作站之间只需执行一次完整的协议过程，就可完成双向身份认证与所 需的密钥分发。 对于具有 N个节点的网络， 完成两两之间的认证功能， 协议 执行的次数降低了一半， 为 N ( N-1 ) /2次。

2、 安全性更高。 针对密钥管理协议存在 DoS攻击问题， 本发明将采用模 块化和可组合化的方法进行协议的改进设计，通过在消息中添加消息完整性校 验和协议同步锁字段， 增强协议的安全性和健壮性， 解决了目前无线局域网 WAPI与 RSNA安全机制中密钥管理协议存在的 DoS攻击问题。

附图说明

图 1为现有技术中 ul、 u2、 u3三个站点组成的 IBSS网络中协议的运行示 意图；

图 2为本发明中 ul、 u2、 u3三个站点组成的 IBSS网络中接入认证协议的 运行示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂， 下面结合附图对 本发明实施例进行详细描述。

本发明为了降低 WAPI和 RSNA协议在 IBSS模式下的执行复杂度， 对网 络实体进行角色配置， 并针对密钥管理协议所存在的 DoS攻击问题， 本发明 采用模块化和可组合化的方法进行协议的改进设计。改进后的协议由两部分构 成： 第一部分为原来的 WAPI认证协议或基于 EAP的 IEEE 802.1x协议， 完成 认证实体 A和请求实体 S之间的身份认证和主密钥 MK的协商； 第二部分为 新设计的密钥管理协议，替代 WAPI中的密钥管理协议或者 RSNA中的 4步握 手过程， 完成单播密钥 UK的协商和组播密钥 GK的通告。 基于 WAPI协议的 改进协议称为 WAPI'， 基于 RSNA协议的改进协议称为 RSNA'。

接入认证的具体方法流程如下：

1 )对网络实体进行认证角色配置；

该角色配置可以是静态配置、 自适应配置或者动态配置。

当采用静态配置时， 其配置步骤如下： 在一对网络实体中， 将其中一个网 络实体配置为认证实体 A, 将另一网络实体配置为请求实体 S。

当采用自适应配置时，其配置步骤如下： 某实体采用自适应角色配置策略 时， 该实体的认证角色自适应对端实体， 若对端实体为认证实体 A， 则该实体 自适应配置为请求实体 S; 若对端实体为请求实体 S， 则该实体自适应配置为 认证实体 A。

当采用动态配置时，其配置步骤如下：根据优先级和物理地址来进行配置， 将优先级高的实体配置为认证实体 A, 而另外一个实体配置为请求实体 S, 若 两实体的优先级相同， 则物理地址大的实体配置为认证实体 A， 物理地址小的 实体将配置为请求实体 S, 本发明也可采用其它的动态配置策略。

2 )通过认证协议对执行角色配置后的认证实体 A和请求实体 S进行认证； 该认证协议指的是 WAPI认证协议或 RSNA的 IEEE 802. lx协议。 3 ) 当认证协议完成后， 认证实体 A和请求实体 S进行密钥协商过程， 其 中，在所述密钥协商消息中添加消息完整性校验和协议同步锁字段。 密钥协商 过程的具体步骤如下：

3.1 ) 当实体认证成功后， 认证实体 A向请求实体 S发送密钥协商请求分 组，该密钥协商请求分组包含密钥协商标识 KNID、认证实体 A产生的 Nonce_A 及消息完整性校验 MIC1; 其中， MIC1 为认证实体 A利用已协商的主密钥 MK对密钥协商请求分组中除 MIC1之外的其他字段计算的杂凑值。

3.2 ) 当请求实体 S收到密钥协商请求分组后， 对密钥协商请求分组进行 验证， 验证其中的 MIC1是否正确， 若不正确， 则直接丢弃该密钥协商请求分 组； 若正确， 则向认证实体 A回应密钥协商响应分组， 密钥协商响应分组包 含密钥协商标识 KNID、 请求实体 S产生的一次性随机数 Nonce_s、请求实体 S 端组播密钥信息 E ( UK，GK_S )及消息完整性校验 MIC2。 其中， MIC2是请求 实体 S利用此次协商的 UK对密钥协商响应分组中除 MIC2之外的其他字段计 算的杂凑值，而 UK是根据 MK、 Nonce_A和 Nonce_s计算得到的值， E( UK,GK_S ) 表示采用单播密钥 UK对请求实体 S的组播密钥 GK_S进行加密处理后得到的 信息。

3.3 ) 当认证实体 A收到密钥协商响应分组后， 对密钥协商响应分组进行 验证， 验证其中的密钥协商标识 KNID是否正确， 若不正确， 则直接丢弃该密 钥协商响应分组； 若正确， 则根据 MK、 Nonce_A和 Nonce_s计算得到 UK, 通 过 UK验证 MIC2是否正确， 若不正确， 则直接丢弃该密钥协商响应分组； 若 正确， 解密得到 GK_S, 向请求实体 S回应密钥协商确认分组， 该密钥协商确认 分组包含密钥协商标识 KNID、 认证实体 A的组播密钥信息 E ( UK,GK_A )及 消息完整性校验 MIC3。 其中， E ( UK，GK_A )表示采用单播密钥 UK对认证实 体 A的组播密钥 GK_A进行加密处理后得到的信息， MIC3为认证实体 A利用 UK对密钥协商确认分组中除 MIC3之外的其他字段计算的杂凑值。

3.4 ) 当请求实体 S收到密钥协商确认分组后， 对密钥协商确认分组进行 验证， 验证其中的密钥协商标识 KNID和 MIC3是否正确， 若不正确， 则直接 丢弃该分组； 如正确， 则解密得到 GK_A。

需说明的是： 密钥协商标识 KNID在密钥协商协议中担当协议同步锁功 能。 认证成功后的首次密钥协商协议中的 KNID为认证实体 A产生的随机数， 而在密钥更新过程中的 KNID为上次密钥协商协议成功后， 认证实体 A和请 求实体 S分别在本地根据 UK、 Nonce_A、 Nonce_s, GK_A、 GK_S计算得到的值。 因此，在密钥更新过程中，请求实体 S对密钥协商请求分组的验证还应包含对 KNID的验证。 KNID的这种设计使认证实体 A和请求实体 S能够实现同步功 能， 杜绝了攻击者对密钥协商请求分组的伪造和重放。

图 2为 3个站点组成的 IBSS网络中改进协议的运行示意图， 假设 3个站 点均采用认证角色的自适应配置， 其优先级相同， MAC 地址分别为 00:90:4b:00:90:01、 00:90:4b:00:90:02、 00:90:4b:00:90:03， 则利用本发明才艮据 3 个站点的 MAC地址通过 3次认证过程就可实现 3个站点之间的认证。

Claims

权 利 要 求

1、一种适用于 IBSS网络的接入认证方法， 其特征在于， 该方法包括以下 步骤：

步骤 1 )对网络实体进行认证角色配置；

步骤 2 )通过认证协议对所述进行认证角色配置后的认证实体和请求实体 进行认证；

步骤 3 )认证完成后， 所述认证实体和请求实体进行密钥协商， 其中， 在 所述密钥协商消息中添加消息完整性校验和协议同步锁字段。

2、 根据权利要求 1所述的方法， 其特征在于， 所述角色配置包括静态配 置、 自适应配置或动态配置。

3、 根据权利要求 2所述的方法， 其特征在于， 所述静态配置具体包括： 在一对网络实体中，将其中一个网络实体配置为认证实体，将另一个网络 实体配置为请求实体。

4、根据权利要求 2所述的方法， 其特征在于， 所述自适应配置具体包括： 在一对网络实体中， 如果其中一个网络实体判断对端网络实体为认证实 体， 则所述网络实体自适应配置为请求实体，如果其中一个网络实体判断对端 网络实体为请求实体， 则所述网络实体自适应配置为认证实体。

5、 根据权利要求 2所述的方法， 其特征在于， 所述动态配置具体包括： 根据优先级对网络实体进行配置；

或者，

根据物理地址对网络实体进行配置。

6、 根据权利要求 5所述的方法， 其特征在于， 所述根据优先级对网络实 体进行配置包括：

在一对网络实体中，将优先级高的网络实体配置为认证实体，将另外一个 网络实体配置为请求实体。

7、 根据权利要求 5所述的方法， 其特征在于， 所述根据物理地址对网络 实体进行配置包括：

在一对网络实体中， 当所述两个网络实体的优先 目同时，将物理地址大 的网络实体配置为认证实体， 将另外一个网络实体配置为请求实体。

8、 根据权利要求 1所述的方法， 其特征在于， 所述认证实体和请求实体 进行密钥协商包括：

所述认证实体向所述请求实体发送密钥协商请求分组，其中， 所述密钥协 商请求分组包含密钥协商标识 KNID、 所述认证实体产生的一次性随机数 Nonce_A和消息完整性校验 MIC1 , 其中， MIC1为认证实体利用已协商的主密 钥 MK对密钥协商请求分组中除 MIC1之外的其他字段计算的杂凑值；

当所述请求实体收到所述密钥协商请求分组后，对所述密钥协商请求分组 进行验证， 如果验证通过， 则向所述请求实体回应密钥协商响应分组， 如果验 证不通过， 则丢弃所述密钥协商请求分组， 其中， 所述密钥协商响应分组包含 密钥协商标识 KNID、所述请求实体产生的一次性随机数 Nonce_s、所述请求实 体的组播密钥信息 E ( UK，GK_S )和消息完整性校验 MIC2,其中， E ( UK，GK_S ) 表示采用单播密钥 UK对请求实体的组播密钥 GK_S进行加密处理后得到的信 息， UK是根据 MK、 Nonce_A和 Nonce_s计算得到的值， MIC2是请求实体利用 此次协商的 UK对密钥协商响应分组中除 MIC2之外的其他字段计算的杂凑 值；

当所述认证实体收到所述密钥协商响应分组后，对所述密钥协商响应分组 进行验证， 如果验证通过， 则向所述请求实体回应密钥协商确认分组， 如果验 证不通过， 则丢弃所述密钥协商响应分组， 其中， 所述密钥协商确认分组包含 密钥协商标识 KNID、 所述认证实体的组播密钥信息 E ( UK,GK_A )和消息完 整性校验 MIC3 , 其中， E ( UK， GK_A )表示采用单播密钥 UK对认证实体的组 播密钥 GK_A进行加密处理后得到的信息， MIC3为认证实体利用 UK对密钥协 商确认分组中除 MIC3之外的其他字段计算的杂凑值；

当所述请求实体收到所述密钥协商确认分组后，对所述密钥协商确认分组 进行验证， 如果验证通过， 解密得到 GK_A, 如果验证不通过， 则丢弃所述密 钥协商确认分组。

9、根据权利要求 8所述的方法， 其特征在于， 当为首次密钥协商过程时， 所述对密钥协商请求分组进行验证包括：

验证所述密钥协商请求分组中的 MIC1是否正确，如果是，所述验证通过， 如果否， 所述验证不通过。

10、 根据权利要求 8所述的方法， 其特征在于， 当为密钥更新过程时， 所 述密钥协商请求分组进行验证包括：

验证所述密钥协商请求分组中的 KNID和 MIC1是否正确 , 如果是， 所述 验证通过， 如果否， 所述验证不通过。

11、根据权利要求 8所述的方法， 其特征在于， 所述对密钥协商响应分组 进行验证包括：

验证所述密钥协商响应分组中的 KNID和 MIC2是否正确 , 如果是， 所述 验证通过， 如果否， 所述验证不通过。

12、根据权利要求 8所述的方法， 其特征在于， 所述对密钥协商确认分组 进行验证包括：

验证所述密钥协商确认分组中的 KNID和 MIC3是否正确 , 如果是， 所述 验证通过， 如果否， 所述验证不通过。

13、 根据权利要求 1至 12任意一项所述的方法， 其特征在于， 所述认证 协议包括： WAPI认证协议或 RSNA的 IEEE 802.1x协议。